Alta
Manifest de dependencias accesible publicamente: /composer.lock
Categoría
Dependencias vulnerables
Estado
ActivoConfianza
verified
Observado
2026-06-27
OWASP
A05:2021 — Security Misconfiguration
Resumen
GET https://fac.mil.co/composer.lock retorna 200 y expone un composer.lock valido con 148 paquetes, incluyendo drupal/core 9.4.3 y symfony/http-foundation v4.4.49.
Por qué importa
El manifest revela librerias y versiones exactas del sitio. Un atacante puede cruzarlas con CVEs y construir reconocimiento dirigido sin acceso autenticado.
Evidencia (URL observada)
https://fac.mil.co/composer.lockVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Trazabilidad
Primera aparición
2026-06-27
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Revisar la guía técnica correspondiente a la categoría y aplicar las recomendaciones del estándar OWASP relacionado.